网络安全公司卡巴斯基表示,新发现的恶意软件框架正在通过社会工程策略和木马 GitHub 应用程序瞄准加密货币投资者。

卡巴斯基发现了一种针对加密货币投资者的新恶意软件框架。

该网络安全公司在周三的一份报告中写道,这种被称为“OkoBot”的恶意软件启动了一条感染链,该感染链以 ClickFix 等社交工程策略开始,该策略会诱骗用户运行恶意命令,或者木马 GitHub 应用程序,为受感染的设备提供后门。

该恶意软件可以收集加密钱包文件、浏览器数据和用户凭据,注入恶意扩展并捕获钱包应用程序窗口以窃取资产。卡巴斯基表示,自 2026 年 1 月以来,它发现了多次涉及该恶意软件家族的攻击。

卡巴斯基补充说,该恶意软件框架是从“TookPS”演变而来的,这是一种于 2025 年首次发现的恶意软件活动,通过虚假软件网站分发木马下载器,这为模仿攻击打开了大门。

它与之前的活动不同,它通过 SSH 隧道编排所有 20 个恶意负载,从而能够将数据从受感染的计算机远程传输到攻击者控制的远程计算机。

原始OkoBot感染链。来源:卡巴斯基

虚假 LinkedIn 招聘活动利用恶意软件针对 Web3 开发人员

另外,据 SlowMist 称,一个新的恶意软件活动正在寻求通过虚假的 LinkedIn 招聘机会渗透到 Web3 开发人员的设备中。

攻击者通过 LinkedIn 联系区块链开发人员,冒充 Web3 招聘人员。该区块链安全公司在周六的一份报告中表示,他们随后向受害者发送虚假的 GitHub 存储库,声称其中包含在采访前需要尝试的最低可行产品。

据慢雾科技称,该工作流程与合法的技术面试非常相似,开发人员在其中提取代码、安装依赖项并启动项目,这使得人们很难注意到攻击。

该恶意软件旨在提供一个完整的“远程访问木马”来感染设备,使攻击者能够从这些开发人员那里窃取项目密钥、云凭证或钱包扩展数据。

慢雾写道:“这次攻击并不是一个孤立的案例。”他补充说,最近发生的事件表明“攻击者越来越多地利用招聘、代码审查和项目协作等场景来诱骗开发人员主动运行恶意存储库。”

该报告发布的前一天,SlowMist 警告称,存在针对 macOS 用户的单独恶意软件活动,旨在窃取他们的凭据并劫持他们的 Telegram 会话,最终诱骗投资者通过虚假网站输入他们的钱包恢复短语。